Sık sık alıntılanan Çinli askeri strateji uzmanı Sun Tzu’nun meşhur iddiası şuydu: “Eğer düşmanı ve kendini tanıyorsan, yüzlerce savaşın sonucundan korkmana gerek yok.” “Savaşları” “siber saldırılarla” değiştirin; düstur geçerli olacaktır.
Ancak çok fazla bilgi, çok az bilgi kadar büyük bir sorundur; kafa karışıklığına, yetersiz kaynak tahsisine ve personel kaybına yol açar.
Uyarı yorgunluğu nedir?
Siber güvenliğin hızlı temposu ve geniş kapsamı bunu gerçek bir sorun haline getiriyor; mevcut bilgi miktarının neredeyse hiçbir sınırı yok. Akışlar, e-postalar ve güvenlik kontrol panelleri her türlü ilgili bilgiyi ortaya çıkarabilir. Bunlar, yazılımdaki yeni güvenlik açıkları, bunları düzeltmek için yeni yamalar, aktif bilgisayar korsanı gruplarının son zamanlardaki istismarları ve hatta bir kuruluş için riski değiştirebilecek güncel jeopolitik olaylar olabilir.
Tüm bu uyarıları potansiyel olarak yararlı görme tuzağına düşmek kolaydır… çünkü öyledir. Bilgisayar korsanları yeni türdeki organizasyonları veya yeni sektörleri hedef almak için taktiklerini değiştiriyor olabilir. Uzak bir ofise kurulu bir yazıcı artık saldırılara karşı savunmasız olabilir ve yama yapılması gerekebilir. Bir uyarı çığının içinde bir yerlerde, kuruluşunuzu güvende tutmaya yardımcı olacak bir parça bilginin bulunduğu fikrinden uzaklaşmak zordur.
Yanlış pozitif sorunu da var. Siber güvenlik araçları, şüpheli olarak işaretlenen normal ağ etkinliği veya yanlışlıkla kötü amaçlı yazılım olarak işaretlenen dosyalar gibi var olmayabilecek sorunlara karşı güvenlik ekibini uyarabilir.
Aşırı bilgi yüklemesi, gerçekten yararlı bilgilerin bulunmasını giderek zorlaştırıyor ve önemli uyarılar kolayca gözden kaçırılabiliyor.
Uyarı yorgunluğunun sonuçları
Önemli siber güvenlik bilgileri önemsiz gürültüye gömüldüğünde sonuçlar vahim olabilir. Siber güvenlik ekiplerinin kaynaklarını önceliklendirmesi ve en fazla risk altında oldukları alanlara odaklanması gerekiyor. Doğru seçimleri yapmak için gereken önemli bilgilerin bulunması zorsa, bu odağın yanlış yönlendirilmesi çok daha kolay olur ve bu da güvenlik olayı riskini artırır.
Benzer şekilde, yanlış pozitifler güvenlik ekiplerinin hızla kayıtsız kalmasına neden olacaktır. Köylülerin üçüncü kez endişelenecek bir şey olmadığını varsaymaları için “Kurt Ağlayan Çocuk” masalındaki iki yanlış pozitiflik yeterliydi. Siber güvenlik ekiplerinin uğraştıkları şeylerin çoğunun yanlış alarm olduğu ortaya çıktığında dikkatli olmalarını bekleyemeyiz.
Ancak hayati bilgilerin eksik olması ve artan kayıtsızlık, uyanık yorgunluğun yol açabileceği tek sorun değildir. Uyarılar, insanları bir hazırlık ve farkındalık durumuna sokmak için tasarlanmıştır: “Bir şeyler yapmaya hazır olun”. Uyarı yorgunluğu sadece insanların kayıtsız kalmasına ve önemli bilgilerin gürültüye gömülmesine neden olmakla kalmaz, aynı zamanda stres de yaratır. Biraz stres iyi bir şey olabilir, ancak çok fazla uyarının sürekli stresi çalışanların tükenmişliğine ve dolayısıyla çalışanların dağılmasına yol açabilir.
Pek çok işveren, “her zaman açık” olmanın, çalışma saatleri dışında çağrı ve e-posta almanın veya kişisel cihazlarda e-postaları kontrol edebilmenin stresi artırabileceğini ve sağlığın bozulmasına yol açabileceğini kabul etmektedir. Ancak alınan çok sayıda uyarının etkileri daha az fark ediliyor.
Karşı mücadele
İşverenler genel olarak çalışanlarının tükenmesini istemezler. Siber güvenlik ekiplerini risk ve rehavet yaratan bir uyarı çığının içine gömmeye çalışmıyorlar. Ve aslında bu, en azından doğrudan işverenin hatası olmayabilir. Siber güvenlik ekipleri, güncel ve önemli bilgilere erişmek istiyor ve uyarı sağlayan hizmetlere aktif olarak abone olacak, ayrıca gerektiğinde önlem alınabilmesi için herkesin kendi güvenlik araçlarından uyarı almasını sağlayacak.
Siber güvenlik ekiplerinin bir uyarı hortumuna ihtiyacı yoktur. Sadece ham verilere değil, yürütülebilir bir plana yol açabilecek eyleme dönüştürülebilir bilgilere ihtiyaçları var. Bunu değiştirmek, bir güvenlik ekibinin uyarılara yönelik yaklaşımını tamamen değiştirmek anlamına gelir:
- Eğitim: Çalışanların uyarı yorgunluğunun doğasını ve sonuçlarını anlamaları gerekir. Bunun faydadan çok zarar getirdiğini anlamadan proaktif olarak çeşitli hizmetlere abone olmuş olabilirler ve eğitim, sorunu çözmenin en iyi yolu olabilir.
- Sorumluluğu paylaşın: Herkes her uyarıdan sorumlu olduğunda, kimse sorumlu değildir. Belirli ekip üyelerine belirli türde uyarılar için sorumluluk vererek bunlara odaklanabilir ve diğerlerinin aboneliğini iptal edebilirler. Daha sonra tüm ekip için hayati önem taşıyan her şey paylaşılabilir.
- Uyarıları ayarlayın: Araçlar ve uyarı hizmetleri, insanların doğru bilgiyi doğru zamanda almasını sağlayacak şekilde ayarlanabilir. Başka bir ülkedeki bir hastaneye fidye yazılımı saldırısı düzenlendiğinde tüm ekibinizin bunu bilmesi gerektiğinden emin misiniz? Yanlış pozitiflerin sayısı azaltılabilir mi? Uyarılar, saat dilimlerini hesaba katarak yalnızca çalışma saatleri sırasında mı geliyor? Uyarı yangın hortumunu daha lezzetli bir içme çeşmesine dönüştürün.
- Daha fazla ayrıntı ekleyin: Aşırı bilgi yüklemesiyle daha fazla bilgiyle mücadele etmek biraz mantığa aykırı görünebilir. Ancak uyarılar daha alakalı olacak şekilde daha iyi ayarlanırsa ve takip araştırması ihtiyacını ortadan kaldıracak kadar yeterli bilgi içerirse, daha fazla ayrıntı stresi azaltabilir.
- Uyarıların uygulanabilir olduğundan emin olun: “Ne oluyor?”dan çok daha önemli. “ne yapılması gerekiyor?” Uyarıların sorumluluğunu bölerek ve yalnızca en önemlilerinin alınmasını sağlayacak şekilde ayarlayarak, bu uyarıları endişelenecek gereksiz bilgiler yerine tamamlanması gereken görevlere dönüştürmek çok daha kolaydır. Bazı istihbarat hizmetleri, yalnızca ham bilgiler yerine uyarılarda gerçekleştirilecek eylemleri de içerecektir; siber güvenlik ekipleri, ekstra bir uzman analizi katmanının onlara zaman ve stres kazandırıp kazandıramayacağını düşünmelidir. Değilse, öncelik için basit bir trafik ışığı sistemi bile yardımcı olabilir.
Uyarı yorgunluğu sadece bir sıkıntıdan öte bir şeydir; güvenlik ekiplerinin kayıtsız kalmasına neden olarak, önemli bilgileri gizleyerek ve hatta personel değişimine neden olacak kadar stres yaratarak istihbaratın avantajını dezavantaja dönüştürür. Pek çok sorunun aksine, bu her zaman siber güvenlik ekibi üyelerinin daha fazla bilgi sahibi olma arzusuyla kendi streslerine neden olduğu yukarıdan aşağıya bir oluşum değildir. Uyarı yorgunluğuyla mücadele etme şansını yakalamak için etkilenen ekiplerin eğitimi ve desteği hayati önem taşıyor.